San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。
Wallarm
/
Wallarmラーニングセンター
/
WebAuthn - ウェブ認証
DevSecOps

WebAuthn - ウェブ認証

デジタル資産を守るために用いられるパスワードには、利点と欠点が併存します。セキュリティを提供する一方、適切なパスワードが考えられないために、サイバー攻撃の81%が発生してしまいます。管理が不十分だと、パスワードがハッカーの裏口となる恐れがあります。では、パスワードなしで守ることは可能でしょうか?

WebAuthnは多くの悩みを解消する手法です。詳細は下記をご覧ください。

WebAuthn - ウェブ認証

WebAuthnの概要

パスワード認証は、ハッカーが様々なパスワードの解析技術を習得しているため、利用者にとって手間がかかる上、時代遅れとなっています。(利用者の物忘れも問題ですね)

APIを利用した認証方式であるWebAuthnは、パスワードに依存しないシステムを実現しながら、より良い守りを提供します。ブラウザが対応するAPIと公開鍵暗号を用いて、該当アカウントを守ることが可能です。 

以下、分かりやすく解説します。

  • 従来の方式の代わりに、この手法は鍵を利用した認証を採用しています。
  • はじめはUniversal 2nd Factor (U2F)と呼ばれ、主にFIDOとW3Cが中心となって作られたオープンスタンダードです。GoogleやMicrosoftなどの大手企業も、その改訂に大きく貢献しました。 
  • 組織やユーザーは必要に応じて、公開鍵および/または秘密鍵の両方を使用できます。
  • 認証および本人確認のため、何らかの対話が必要です。多くの場合、指紋センサーや顔認証といったハードウェアが利用され、場合によっては本人確認用USBであるYubiKeyが使用されることもあります。
  • ワンタイムパスワード型の2要素認証と比べ、ハードウェアベースの認証器はより安全とされています。  
  • Edge、Chrome、Safari、Firefox、iOS、Windows 10、Androidなど、主要なブラウザやOSに対応しています。  

WebAuthn APIの歴史

今日見かける高度で実用的なWebAuthnは、長年にわたる更新と改良の成果です。その基盤は、FIDO Allianceがパスワード認証の限界を超えることを目指した2014年に遡ります。

UAFに取り組んだこの有名なオープン産業組織は、安全な認証を提供しました。しかし、ブラウザ全体での機能不足や実装に関する参照情報の欠如から普及は限定的となり、FIDO Allianceはブラウザベースの認証の模索に乗り出しました。

更新作業は続き、2015年にはUAFの更新としてFIDO2、すなわちFast IDentity Online 2が登場しました。FIDOはその後、W3Cと協力してさらに改良を重ね、APIベースの認証ソリューションへと進化させました。次第に、Apple、Google、Microsoftなどからの支持も得ています。

これらの取り組みにより、WebAuthn APIは2018年に候補推奨の地位を確立しました。それ以来、サイバーセキュリティ分野での普及と利用者の増加が進んでいます。

FIDO WebAuthnの目的

目的として、パスワード不要かつ柔軟な認証手段の提供により、ユーザー認証を簡素化することを目指しています。 

パスワード管理が大きな課題であることから、FIDOの実装はスムーズで簡単なユーザー体験をもたらすとともに、どのような環境でも動作し、堅固な守りと手間のかからない実装を実現する認証を提供します。

総じて、従来の弱く、共通で、使い回しあるいは漏洩してしまったパスワードに依存する古いやり方から解放される一助となっています。

WebAuthnはどのように機能する?

機能を理解することは、WebAuthn SSOをよりよく理解するために重要です。概要は以下の通りです。

  • ユーザーはまず、対象のユーザーネームを入力して初期識別を完了します;
  • 次に、ブラウザが認証器を用いた確認を促します;
  • 認証器側で確認が成功すると、アクセスが許可されます.

さらに詳しく見れば、多くの工程が隠れています。以下、詳細を説明します。

ここでは、二つの主要なワークフローが動作しています。

登録手順

このワークフローでは、入力されたユーザーネームに対して新たな認証情報を生成します。これがWebAuthnがサポートするパスワード不要ログインの基盤となり、全体で七段階の手順で構成されます。

  1. 対象ユーザーが目的のサイトにアクセスし、登録ボタンをクリックします。これにより、認証サーバへリクエストが即時送信されます。
  2. サーバがリクエストを受け取ると、ランダムなデータセットがユーザーのブラウザに送信され、WebAuthnログインが開始されます。
  3. このデータは、ハードウェアベースの認証器へ転送されます。
  4. 認証器は、YubiKey、顔認証、指紋スキャナーなど、適切な方法で認証するようユーザーに促します。
  5. データを受けた認証器は、新たな秘密鍵と公開鍵のペアを生成し、秘密鍵を用いてデータに署名します。
  6. 署名済みの出力、公開鍵、および手順の詳細がサーバへ送信され、検証されます。
  7. サーバはこれらを受け取り、検証後、今後の利用のために保存します。

WebAuthn認証手順

認証の流れは以下の通りです。

  • ユーザーが対象のサイトまたはウェブアプリにアクセスし、ログインを促します。
  • 認証サーバは、リクエストを受けた後、ブラウザに指示を送り、好みの方法で本人確認を行うよう促します。
  • サーバはランダムなデータまたはチャレンジをハードウェア認証器へ転送し、設定された基準(例えば音声データや指紋など)に沿った情報の提供を求めます。
  • 認証器は入力を受け取り、関連する秘密鍵を用いて復号後、署名を認証サーバへ返送します。
  • 提供された署名が既存の公開鍵と一致すれば、対象のサイト/アプリへのアクセスが即時許可されます。そうでない場合、処理は失敗し、エラーメッセージが表示されます。

WebAuthnの利点

多くの機能から、セキュリティ専門家もWebAuth APIがオンライン資産管理において現代的でより安全なアプローチであると認めざるを得ません。適切に実装されれば、多くの利点が得られます。

  1. より高い守り

非対称暗号鍵とハードウェア認証器を組み合わせることで、アカウントの守りが向上します。API鍵の取得は容易ではなく、認証器ツールの守りをすり抜けるには物理的なアクセスが必要なため、遠隔のハッカーにとっては実現が難しいです。

脅威者がソーシャルエンジニアリングでパスワードを解読できる一方、WebAuthnの回避には複数の段階が必要なため、資産は長期間安全に保たれます。

  1. フィッシング攻撃への抵抗力向上

この認証方式では、ドメイン名が仮想サーバではなくハードウェア認証器に保存されるため、フィッシング攻撃に対して100%の抵抗力があります。初心者にとって、フィッシングはデータ窃盗の大きな要因であり、その発生も増加しているため、リスクを低く抑えることにつながります。

  1. 機密データへの影響が少ない

このワークフローでは公開情報のみを扱いDBに保存します。個人情報や記録された生体情報はサーバへ送信され、より高いデータプライバシーのために暗号鍵に保存されます。

  1. ユーザーとの対話の完全な制御

ユーザーは、どの認証器を使用するか、およびどの段階で利用するかを選ぶことができます。

  1. 比類なき相互運用性 

主要なブラウザやデバイスに対応しているため、ベンダーロックインに縛られることなく利用できます。

  1. 手間いらずの守り

パスワードを作成・記憶する必要がないため、利用者はより快適に利用できます。

WebAuthnの欠点

これらの評価される利点にもかかわらず、WebAuthn APIにはいくつか特有の欠点があり、実装前に理解することが重要です。例えば:

  • 認証情報を一つの認証器から別の認証器へ移管できないため、デバイス間の互換性は優れていません。別の認証器を使用する場合、再度認証情報を入力する必要があります。
  • 組織が認証器を紛失または破損すると、代替手段の必要性が高まり、パスワードの回復が困難になったり、認証情報窃盗のリスクが生じる可能性があります。
  • 認証器の購入が必要なため、実装コストは高くなります。また、これらのツールを管理するための技術者が求められるため、さらなる費用負担が発生します。そのため、すべての企業にとって選択肢となるとは限りません。
  • 従来のパスワード管理は費用がかからないため広く採用されていますが、WebAuthnは高コストであり、高度な技術や保守作業が必要なため普及率が限定的です。
  • 実装には、関係する企業やユーザーの高度な技術力が求められます。バックアップ、保守、アップデート、データ復旧など、高度な技術が必要な分野が含まれます。

Wallarm APIセキュリティ

WebAuthnが相当な守りを提供する一方で、独自の保護策も必要です。APIを狙う攻撃が増加しており、熟練したハッカーがWebAuthnの背後にある暗号鍵にアクセスする可能性もあります。もしそうなれば、デジタル資産を救う手段がなくなります。

Wallarmは、現代的なエンドツーエンドAPIセキュリティを提供することで、この懸念を大いに解消します。マルチクラウド対応のAdvanced API Threat Detection、Cloud WAF、Active Responseなど、多数の機能により、暗号鍵を含む主要なAPIを、DDoS攻撃、ボット、L7攻撃、APIの悪用、OWASP Top 10などの脅威から守ります。

これらのツールは誤検知が少なく、不要な警告も発生しないため、信頼性があります。

結論

まだパスワードを使用し、万全の守りを期待しているか? そろそろ再考し、WebAuthnの利用を始める時です。

サイバーの脆弱性が蔓延する現代、簡単に解析されるパスワードに頼る余裕はありません。WebAuthnは、従来のパスワードを使用せず、攻撃の余地を排除する最先端の認証手法です。暗号鍵によるより高いプライバシー、守り、保護を実現します。

FAQ

参考資料

FIDO Alliance - Official website

World Wide Web Consortium (W3C) - Official website

WebAuthn - Github Repository

最新情報を購読

更新日:
April 6, 2025
学習目標
最新情報を購読
購読
著者 |
認定エキスパート
システムエンジニアリング、セキュリティ分析、ソリューションアーキテクチャなどで20年以上のIT経験があります。Windows、Linux、UnixなどのOS、C++、Python、HTML/CSS/JS、Bashなどのプログラミング、およびMySQL、Oracle、MongoDB、PostgreSQLなどのDBを熟知しています。PowerShellやPythonによるスクリプト作成、マイクロサービスやコンテナ、CI/CDなどのDevOps、Node.js、React、AngularなどのWeb開発にも習熟しています。ITシステムの運用管理で豊富な実績を持っています。
レビュー担当 |
認定エキスパート
サイバーセキュリティ分野で10年以上の経験があり、システムエンジニアリング、セキュリティ分析、ソリューションアーキテクチャに精通しています。Ivanは各種オペレーティングシステム、プログラミング言語、データベース管理の幅広い知識を有しています。さらに、スクリプト作成、DevOps、ウェブ開発にも対応できるため、多才で高度なスキルを備えた専門家です。Bughunterとして、Google、Facebook、Twitterなどの大手テック企業で活躍し、Blackhatの講演も行っています。
関連トピック
<